Právní předpis byl sestaven k datu 28.05.2018.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
VYHLÁŠKA
ze xxx 21. xxxxxx 2018
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx xxxxxx x xxxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxx xxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxx xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx stanoví podle §28 xxxx. 2 xxxx. x) xx x) x f) xxxxxx x. 181/2014 Xx., x kybernetické xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x kybernetické xxxxxxxxxxx), ve xxxxx xxxxxx č. 104/2017 Xx. x zákona x. 205/2017 Xx., (xxxx xxx "zákon"):
ČÁST XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx zapracovává xxxxxxxxx xxxxxxx Xxxxxxxx xxxx1) a pro xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxx informační xxxxxx, xxxxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx využívá poskytovatel xxxxxxxxxxx xxxxxx, (xxxx xxx "xxxxxxxxxx a xxxxxxxxxxx xxxxxx") upravuje
a) xxxxx x strukturu xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx, kategorie x xxxxxxxxx významnosti xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx a xxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx oznámení x provedení xxxxxxxxxxx xxxxxxxx a jeho xxxxxxxx,
x) vzor oznámení xxxxxxxxxxx xxxxx x xxxx xxxxx a
g) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx údajů, xxxxxxxxx x xxxxxx xxxxx.
§2
Xxxxxxxx pojmů
Pro účely xxxx xxxxxxxx xx xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, provoz, xxxxxxx, xxxxxx a xxxxxxxxxx xxxxxxxxxxx aktiva,
b) xxxxxxxxxxxxxxx rizikem riziko, xxxxx xx xxxxxxxxxx xxx xxxxx xxxx xxxxx, které xxxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx, (xxxx xxx "povinná xxxxx") x xxxx xxxxx jej xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx zásad x xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx ochrany xxxxx,
x) hodnocením xxxxx xxxxxxx proces identifikace, xxxxxxx x vyhodnocení xxxxx,
x) hrozbou potenciální xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, která xxxx způsobit xxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx se xx xxxxxxx, xxxxxxx, xxxxxx xxxx bezpečnosti xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx nebo služba, xxxxxx zpracovává xxxx xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, xx určitá xxxxxx xxxxxxx zranitelnosti xxxxxx a xxxxxxx xxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, výběr x xxxxxxxx opatření ke xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x riziku x xxxxxxxxx a xxxxxxxxxxx rizik,
j) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx xx přístupu k xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx způsob ustavení, xxxxxxxx, provozování, xxxxxxxxxxxx, xxxxxxxxxxx, udržování x xxxxxxxxxx bezpečnosti xxxxxxxxx x dat,
k) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx prostředky x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a xxxxxxx, xx xxxxxxx xxxx xxxx xxxxxxx umístěny, xxxxxxx xxxxxxx xxxx xxx xxxxx xx xxxxxxxxxx a xxxxxxxxxxx xxxxxx,
x) uživatelem xxxxxxx xxxx xxxxxxxxx osoba xxxxx xxxxx xxxxxxx xxxx, které xxxxxxxxx xxxxxx,
x) xxxxxxxxxx vedením xxxxx nebo xxxxxxx xxxx, které řídí xxxxxxxx xxxxx, xxxx xxxxxxxxxx xxxxx xxxxxxx xxxxx,
x) významným xxxxxxxxxxx xxxxxxxxxxxx informačního xxxx xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxxxxxxxxx") x xxxxx, kdo x xxxxxxxx osobou vstupuje xx právního xxxxxx, xxxxx je xxxxxxxx x hlediska bezpečnosti xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) významnou xxxxxx xxxxx, xxxxx xx xxxx xxxx xxx xxxx xx kybernetickou xxxxxxxxxx x představuje xxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx slabé místo xxxxxxxxxxxxxx opatření, které xxxx xxx zneužito xxxxxx xxxx xxxx xxxxxxxx.
XXXX DRUHÁ
BEZPEČNOSTNÍ OPATŘENÍ
HLAVA X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx informací
Povinná osoba x xxxxx xxxxxxx xxxxxx bezpečnosti informací
a) xxxxxxx x ohledem xx xxxxxxxxx dotčených xxxxx x organizační xxxxxxxxxx xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xx xxxxxx xxxx xxxxxxxxxxx části a xxxxxx, jichž xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) xxxxxxx xxxx xxxxxxx řízení xxxxxxxxxxx informací,
c) xxx xxxxxxxxx rozsah xxxxxxx xxxxxx bezpečnosti informací xx základě cílů xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, bezpečnostních xxxxxx x hodnocení rizik xxxxxx přiměřená xxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxx xxxxx §5,
x) xxxxxxx x schválí xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, práva x xxxxxxxxxx ve xxxxxx k řízení xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx rizik stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx podle §30 x xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx,
x) xxxxxxx provedení auditu xxxxxxxxxxxx xxxxxxxxxxx u xxxxxxxxxxxx x komunikačního xxxxxxx (xxxx xxx "xxxxx xxxxxxxxxxxx bezpečnosti") xxxxx §16,
x) zajistí xxxxxxxxxx xxxxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx výsledků xxxxxxxxxxx auditů kybernetické xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxx §11 řídí xxxxxxxx xxxxx, xxxxx xxxxx xx rozsahu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) aktualizuje systém xxxxxx bezpečnosti xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx základě zjištění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x v xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx změnami x
x) xxxx xxxxxx x xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxx xxxxx.
§4
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxx
x) stanoví xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) stanoví xxxxxxxx xxx xxxxxxxxx aktiv xxxxxxx x rozsahu xxxxxxxx x příloze č. 1 x xxxx vyhlášce,
c) xxxxxxxxxxxx x eviduje xxxxxx,
x) určí x xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx x eviduje xxxxxxxx xxxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx a xxxxxx je do xxxxxxxxxxxx úrovní xxxxx xxxxxxx x),
x) xxxx x eviduje vazby xxxx primárními a xxxxxxxxxx xxxxxx x xxxxxxx důsledky závislostí xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx aktiva x xxxxxxxxxx xxxxxx zejména xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx f),
h) na xxxxxxx xxxxxxxxx xxxxx xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxx xxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
i) stanoví xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx xxx manipulaci x xxxxxx x xxxxxxx xx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x fyzické xxxxxxxxx xxxxx, a
j) xxxx xxxxxx xxxxxxxxx dat, xxxxxxxxxx údajů, xxxxxxxxx x xxxxxx kopií xxxx xxxxxxxxx technických xxxxxx xxx s xxxxxxx na xxxxxx xxxxx x souladu x přílohou č. 4 x xxxx vyhlášce.
(2) Xxx xxxxxxxxx důležitosti primárních xxxxx xx xxxxx xxxxxxxx xxxxxxx
x) xxxxxx x důležitost xxxxxxxx xxxxx, zvláštních xxxxxxxxx xxxxxxxx údajů nebo xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) xxxxxx narušení xxxxxxxxx xxxxxxxx a xxxxxxxxxxx xxxxxxxx,
x) poškození veřejných, xxxxxxxxxx nebo ekonomických xxxxx a možné xxxxxxxx xxxxxx,
x) dopady xx xxxxxxxxxxx xxxxxxxxxx xxxxxx,
x) rozsah xxxxxxxx xxxxxxx xxxxxxxx,
x) dopady xx xxxxxxxxx xxxxxxx xxxxx nebo xxxxxxx xxxxx pověsti,
h) xxxxxx xx xxxxxxxxxx a xxxxxx osob,
i) xxxxxx xx mezinárodní xxxxxx x
x) xxxxxx xx xxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
§5
Xxxxxx xxxxx
(1) Povinná xxxxx x xxxxx xxxxxx rizik v xxxxxxxxxx xx §4
a) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxxxxxx xxxxx,
x) x xxxxxxx xx aktiva xxxxxxxxxxxx xxxxxxxxxx hrozby x xxxxxxxxxxxxx; xxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxxx v příloze č. 3 x této vyhlášce,
c) xxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxxx intervalech xxxxx xxxxxxxx 2 x xxx xxxxxxxxxx xxxxxxx,
x) xxx xxxxxxxxx xxxxx zohlední xxxxxxxxxx xxxxxx a xxxxxxxxxxxxx x xxxxxxx xxxxx xxxxxx xx xxxxxx; xxxx rizika xxxxxxx xxxxxxx v xxxxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) zpracuje zprávu x hodnocení xxxxx,
x) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx obsahuje xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx, xxxxx
1. xxxxxx aplikována, xxxxxx xxxxxxxxxx,
2. xxxx xxxxxxxxxx, xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxx x zavede xxxx zvládání rizik, xxxxx xxxxxxxx cíle x xxxxxxx bezpečnostních xxxxxxxx xxx zvládání xxxxxxxxxxxx rizik, určení xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, potřebné xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxx xxxx xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxxxx xxxxx x v xxxxx zvládání rizik xxxxxxxx
1. významné xxxxx,
2. xxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx informací,
3. xxxxxxxx xxxxx §11 xxxxxx a
4. kybernetické xxxxxxxxxxxx xxxxxxxxx, včetně xxxxx řešených, x
x) x xxxxxxx x xxxxxx zvládání rizik xxxxxx xxxxxxxxxxxx opatření.
(2) Xxxxxxx osoba uvedená x §3 písm. x), x) a x) xxxxxx xxxxxxx xxxxxxxxx xxxxx alespoň xxxxxx ročně x xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxx xxxxxx xx xxx xxxx.
(3) Xxxxxx xxxxx xxxx být xxxxxxxxx x jinými xxxxxxx, xxx jak je xxxxxxxxx v xxxxxxxx 1 xxxx. d), xxxxx xxxxxxx xxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxx stejnou xxxx xxxxx xxxxxx xxxxxxx xxxxxx rizik.
§6
Organizační xxxxxxxxxx
(1) Povinná xxxxx x ohledem xx systém řízení xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxxx bezpečnostní politiky x cílů systému xxxxxx xxxxxxxxxxx informací xxxxx §3 xxxxxxxxxxxx xx strategickým směřováním xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx do xxxxxxx povinné osoby,
c) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxx xxxxxx bezpečnosti informací,
d) xxxxxxxxx zaměstnance o xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx shody x jeho xxxxxxxxx xx xxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) vede xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxxxx xx xxx xxxxx xxxxxxxxx,
x) prosazuje xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
h) xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx při xxxxxxxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxxxx,
x) zajistí stanovení xxxxxxxx pro xxxxxx xxxxxxxxxxxxxx x osob, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx role,
j) xxxxxxx, xxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) pro xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxx xxxxxx xxxxxxxxxxxx prostředků k xxxxxxxxxx jejich rolí x xxxxxx xxxxxxxxxxxxx xxxxx x
x) xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxxx a xxxxxxx spojených xx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
(2) Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostní xxxx a jejich xxxxx x xxxxxxxxxx xxxxxxxxxxx xx systémem xxxxxx xxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) x x) xxxxxx určí xxxxx, která bude xxxxxxxx xxxxxxxxxxxx xxxx
x) xxxxxxxx kybernetické bezpečnosti,
b) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx a
d) xxxxxxxx xxxxxxxxxxxx bezpečnosti.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona určí xxxx manažera xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx podle xxxxxxxx 3 xxxx přiměřeně xxxxxxxx k rozsahu x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
(5) Xxxxxxx xxxxx uvedená x §3 xxxx. x), x) x x) zákona zajistí xxxxxxxxxxxxxx bezpečnostních rolí xxxxxxxxx x odstavci 3 xxxx. x) x x).
(6) Xxxxxxx xxxxx uvedená v §3 xxxx. e) xxxxxx zajistí zastupitelnost xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Výbor xxx řízení xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxx x příslušnými xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx pro celkové xxxxxx x xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx a xxxxxxx xxxxxxxx xx podílejícími xx xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx bezpečností, xxxxx xxxxxx musí xxx xxxxxxx xxxxx xxxxxxxx vrcholového vedení xxxx xxx xxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Povinná xxxxx x výboru xxx xxxxxx kybernetické xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx v příloze č. 6 x xxxx xxxxxxxx.
§7
Xxxxxxxxxxxx xxxx
(1) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx této xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx praxí x xxxxxxx kybernetické xxxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx nejméně xxx xxx, xxxx
2. xx dobu jednoho xxxx, xxxxx absolvovala xxxxxxx na vysoké xxxxx,
x) odpovídá xx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxx o
1. xxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxx xxxxxxxxxxxx a
2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací x
x) xxxxx xxx xxxxxxx xxxxxxx xxxx odpovědných xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx role xxxxxxxxx za xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx, aby xxxx zajištěna bezpečná xxxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, xxxxxxx xxxxxxx této role xxxx xxx xxxxxxxx xxxxx, xxxxx je xxx tuto činnost xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxxxxxx architektury xxxxxxxxxxx
x) xx dobu nejméně xxx let, nebo
b) xx xxxx jednoho xxxx, pokud xxxxxxxxxxx xxxxxxx xx vysoké xxxxx.
(3) Xxxxxx xxxxxx xx xxxxxxxxxxxx role xxxxxxxxx xx xxxxxxxxx xxxxxxx, použití x xxxxxxxxxx xxxxxx.
(4) Auditor xxxxxxxxxxxx xxxxxxxxxxx
x) je xxxxxxxxxxxx xxxx odpovědná xx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxxx xxxxxxx této xxxx xxxx xxx pověřena xxxxx, xxxxx je xxx xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti nebo xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. po xxxx nejméně xxx xxx, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx absolvovala studium xx vysoké xxxxx,
x) xxxxxxxx, xx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti xx nestranné, x
x) xxxxx být pověřen xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxx.
(5) Xxxxxxx xxxxx xxx určování xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx v příloze č. 6 x xxxx xxxxxxxx.
§8
Xxxxxx dodavatelů
(1) Povinná xxxxx
x) xxxxxxx xxxxxxxx xxx dodavatele, xxxxx xxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxx svých xxxxxxxxxx xxxxxxxxxx,
x) prokazatelně xxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxxx o xxxxxx xxxxxxxx xxxxx xxxxxxx b),
d) xxxxxxxxx xxx xxxxxxxxxx s xxxxxxxx xxxxx xxxxxxx x) x vyžaduje xxxxxx xxxxxx xxxxxxxx,
x) xxxx rizika spojená x xxxxxxxxxx,
x) x xxxxxxxxxxx x řízením xxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxxxxx xxxxxxx, xxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx oblasti xxxxxxx v příloze č. 7 x této vyhlášce, x
x) xxxxxxxxxx přezkoumává xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx u významných xxxxxxxxxx xxxx
x) v xxxxx xxxxxxxxxx xxxxxx x xxxx uzavřením xxxxxxx xxxxxxx hodnocení xxxxx xxxxxxxxxxxxx s xxxxxxx předmětu xxxxxxxxxx xxxxxx xxxxxxxxx xxxxx přílohy č. 2 k této xxxxxxxx,
x) x xxxxx xxxxxxxxxxx smluvních xxxxxx xxxxxxx xxxxxxx a xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx vzájemné xxxxxxx xxxxxxxxxxxx xx zavedení x xxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxx rizik x xxxxxxxxxxx xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxx nebo xxxxxx xxxxx xxxxxx x
x) x xxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx informování xxxxx xxxxxxxx 1 xxxx. x) xxxx
x) identifikace xxxxxxx xxxx xxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx dodavatele,
d) vyrozumění x skutečnosti, xx xxxxxxxxx xx pro xxxxxxx xxxxxxxxx xxxxxxxxxxx, x xxxxxxxxx xxxx x tom, že xxxxxxxx xxxxxxxxx je xxxxxxx xxxxxxxxxxxxxx, x
x) xxxxx pravidel xxxxx xxxxxxxx 1 xxxx. x).
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) až x) zákona, která xx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxx informována xxxxx xxxxxxxx 1 xxxx. c), xxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx v §34.
§9
Bezpečnost xxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx v xxxxx řízení xxxxxxxxxxx xxxxxxxx zdrojů
a) x xxxxxxx na xxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti informací xxxxxxx plán rozvoje xxxxxxxxxxxxxx povědomí, xxxxx xxxxx xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx, obsah x xxxxxx
1. xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx zastávajících xxxxxxxxxxxx role x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx školení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxx xxxxx xxxxxxxxx xx realizaci jednotlivých xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x dodavatelů x xxxxxx povinnostech a x bezpečnostní politice xxxxxx vstupních x xxxxxxxxxxxx xxxxxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx x plánem xxxxxxx xxxxxxxxxxxxxx povědomí zajistí xxxxxxxxxx xxxxxxx xxxxxxx, xxxxxxx xxxxxxx x xxxxxxxxxx xxxxxx povinné xxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti,
e) x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxxxx xxxxxxxxxx školení x xxxxxxxxx bezpečnostního xxxxxxxx zaměstnanců x xxxxxxx x jejich xxxxxxxx náplní,
f) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) x případě xxxxxxxx xxxxxxxxx vztahu x xxxxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx bezpečnostní xxxx xxxxxxx předání xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx školení x dalších xxxxxxxx xxxxxxxxx se xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a
i) xxxx xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxx porušení xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx ze xxxxxx uživatelů, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxxxx xxxxx vede x xxxxxxx xxxxx odstavce 1 xxxxxxxx, xxxxx xxxxxxxx předmět xxxxxxx x seznam xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
§10
Řízení xxxxxxx x xxxxxxxxxx
(1) Xxxxxxx xxxxx x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxx pravidla x xxxxxxx, které xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) postupy xxx spuštění x xxxxxxxx chodu systému, xxx xxxxxxx nebo xxxxxxxx xxxxx xxxxxxx xx selhání x xxx xxxxxxxx xxxxxxxxx xxxxx nebo xxxxxxxxxxx xxxx,
x) postupy xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x opatření xxx xxxxxxx xxxxxxxx x xxxxxxxx x xxxxxx xxxxxxxxxx,
x) pravidla x xxxxxxx xxx xxxxxxx před xxxxxxxxx xxxxx,
x) řízení technických xxxxxxxxxxxxx,
x) spojení xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxx x technické xxxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx provozních xxxx,
x) postupy xxx xxxxxxxxx, plánování x xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxx x dat x xxxxxxx celého xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxx zálohování a xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx x
x) xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx.
(2) Povinná xxxxx x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx podle xxxxxxxx 1 x xxxx pravidla a xxxxxxx xxxxxxxxxxx v xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx osoba xxxxxxx xxxxxxxx vývojového, testovacího x xxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxx u xxxxxxxxxxxx x komunikačního xxxxxxx
x) xxxxxxxxxxx možné xxxxxx xxxx x
x) xxxxxx xxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx x xxxxxxxxxx změn
a) xxxxxxxxxxx xxxxxx řízení,
b) xxxxxxx xxxxxxx xxxxx,
x) přijímá xxxxxxxx xx xxxxxx xxxxxxx všech xxxxxxxxxxxx xxxxxx spojených s xxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentaci,
e) zajistí xxxxxx xxxxxxxxx a
f) xxxxxxx xxxxxxx navrácení xx xxxxxxxxx xxxxx.
(3) Xxxxxxx osoba uvedená x §3 xxxx. x), d) a x) zákona na xxxxxxx xxxxxxxx xxxxxxx xxxxx podle odstavce 2 písm. b) xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxxxx; pokud xxxxxxxx x provedení xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx zranitelností, postupuje xxxxx §25 odst. 1 x xxxxxxx xx zjištěné nedostatky.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx se xxxx požadavky xxxxx xxxxxxxx 3 přiměřeně.
§12
Xxxxxx přístupu
(1) Xxxxxxx xxxxx xx základě xxxxxxxxxx a bezpečnostních xxxxxx xxxx xxxxxxx x informačnímu a xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx, xxxxx xxxxxx k xxxxxxxxx xxxxxxx údajů, xxxxx xxxx používány pro xxxxxxxxxx xxxxx §19 x 20, x xxxxx brání ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx dále x xxxxx řízení xxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxx xx xxxxxxx xxxxxx x xxxx,
x) xxxxxxx každému xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx x oprávnění x jedinečný xxxxxxxxxxxxx,
x) xxxx identifikátory, přístupová xxxxx a xxxxxxxxx xxxxxxxx x technických xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
e) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx xxx bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx osoba xxxx ve své xxxxxx,
x) omezí přidělování xxxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxx xxxxxx x výkonu náplně xxxxx,
x) xxxxx x xxxxxxxxxx používání xxxxxxxxxxxx xxxxxxxxxx, které mohou xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxxx xxxxxxxxx přístupových xxxxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxx správu x xxxxxxxxx xxxxxxxx xxxxx §19 x xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §20,
x) xxxxxxxxx, aby xxxxxxxxx xxx používání xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx nebo xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role,
m) xxxxxxx xxxxxxxx xxxx xxxxx přístupových xxxxxxxxx xxx xxxxxxxx xxxx xxxxx xxxxxxxxx vztahu x
x) xxxxxxxxxxx přidělování x xxxxxxxxx přístupových xxxxxxxxx.
§13
Xxxxxxxx, xxxxx x xxxxxx
Xxxxxxx osoba x xxxxxxxxxxx x plánovanou xxxxxxxx, vývojem x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxx podle §5,
x) xxxx významné xxxxx xxxxx §11,
c) xxxxxxx xxxxxxxxxxxx požadavky,
d) xxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx akvizice, xxxxxx x xxxxxx,
x) xxxxxxx xxxxxxxxxx vývojového x xxxxxxxxxxx xxxxxxxxx x xxxxxxx ochranu xxxxxxxxxxx xxxxxxxxxxx dat,
f) provádí xxxxxxxxxxxx testování xxxxxxxxxx xxxx před xxxxxx xxxxxxxxx xx xxxxxxx x
x) xxxx požadavek xxxxx §19 xxxx. 3, xx-xx xxxxx xxxxxxxxx akvizice xxxx xxxxxx xxxxxxx xxx xxxxxx x xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx xxxxx v xxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) přidělí xxxxxxxxxxxx x xxxxxxx xxxxxxx xxx
1. xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxx x
2. koordinaci x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x aplikuje xxxxxxx xxx identifikaci, xxxx, xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx analýzu kybernetického xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx dále xxxx §22 x 23,
x) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxxxxxxx role, xxxxx xxxxxxxxxxx a dodavatelé xxxxx oznamovat xxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému a xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxx xxxxxx xxxx xxx rozhodnuto, zda xxxx xxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §31,
x) xxxxxxx zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxx,
x) přijímá xxxxxxxx xxx xxxxxxxxx x zmírnění xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32,
x) xxxx záznamy x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x o xxxxxx xxxxxxxx,
x) prošetří a xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu x
x) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu x xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx k xxxxxxxx xxxxxxxxx řešeného xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx uvedená x §3 xxxx. x), x) x x) xxxxxx xxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxx §24.
§15
Xxxxxx xxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx x rámci xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx xxxxx x xxxxxxxxxx administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxx hodnocení xxxxx x xxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx s xxxxxxxxx xxxxxxxxxx činností,
c) xx xxxxxxx výstupů xxxxxxxxx xxxxx a xxxxxxx dopadů xxxxx xxxxxxx x) stanoví xxxx řízení xxxxxxxxxx xxxxxxxx xxxxxx určení
1. xxxxxxxxx úrovně xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx pro užívání, xxxxxx x správu xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. doby xxxxxxxx xxxxx, během které xxxx po kybernetickém xxxxxxxxxxxxx incidentu xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx xxx xxxx časové xxxxxx, xx xxxxx musí xxx zpětně obnovena xxxx po kybernetickém xxxxxxxxxxxxx incidentu xxxx xx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, která xxxxxxxx xxxxxxxx cílů xxxxx xxxxxxx c),
e) vypracuje, xxxxxxxxxxx x pravidelně xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x havarijní xxxxx související s xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxx služeb x
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxx x xxxxxxx xxx xxx x xxxxxxxxx podle §27.
§16
Xxxxx xxxxxxxxxxxx bezpečnosti
(1) Xxxxxxx xxxxx v xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) provádí x xxxxxxxxxxx audit xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx technické xxxxx, x xxxxxxxx xxxxxx xxxxxxxx v xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx x
x) posuzuje xxxxxx xxxxxxxxxxxxxx xxxxxxxx x nejlepší xxxxx, xxxxxxxx xxxxxxxx, vnitřními xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x určí xxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
(2) Xxxxx podle xxxxxxxx 1 je prováděn
a) xxx xxxxxxxxxx xxxxxxx, x rámci jejich xxxxxxx,
x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 3 xxxxxx x xxxxxxx xxxxxxx osoby xxxxxxx x §3 xxxx. e) xxxxxx x
x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx po 2 xxxxxx x xxxxxxx xxxxxxx osoby xxxxxxxxx x písmenu x).
(3) Xxxx-xx x xxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx audit v xxxxxxxxxxx xxxxx xxxxxxxx 2 písm. x) x c) x xxxxx rozsahu, je xxxxx xxxxx xxxxxxxx xxxxxxxx po xxxxxxxxxxxxxx xxxxxxx. X xxxxxxx xxxxxxx je nutno xxxxx x xxxxx xxxxxxx xxxxxxx xxxxxxxxxx xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx prováděn xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx v §7 xxxx. 4, xxxxx xxxxxxxxx hodnotí xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Xxxxxxx xxxxx, která xx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx.
HLAVA XX
XXXXXXXXX XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxxx bezpečnosti
a) xxxxxxxxx poškození, krádeži xxxx xxxxxxxx xxxxx xxxx xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxx perimetr xxxxxxxxxxxx xxxxxx, xx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx x umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, x
x) x xxxxxxxxx bezpečnostního xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx fyzické xxxxxxxxxxx
1. x xxxxxxxx xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x
3. xxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx x x xxxxx xxxxxxx.
§18
Bezpečnost komunikačních sítí
Povinná xxxxx xxx xxxxxxx xxxxxxxxxxx komunikační sítě xxxxxxxx v xxxxxxx xxxxx §3 písm. x)
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx,
x) zajistí xxxxxx komunikace v xxxxx xxxxxxxxxxx sítě x perimetru xxxxxxxxxxx xxxx,
x) pomocí kryptografie xxxxxxx xxxxxxxxx x xxxxxxxxx xxx xxx xxxxxxxxx xxxxxxxx, vzdálené xxxxxx nebo xxx xxxxxxxx xx komunikační xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx komunikaci x
x) xxx zajištění xxxxxxxxxx xxxx a pro xxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
§19
Xxxxxx a xxxxxxxxx xxxxxxx
(1) Povinná osoba xxxxxxx xxxxxxx pro xxxxxx x xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx x aplikací xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx pro správu x xxxxxxx xxxxxxxx xxxxxxxxx, administrátorů x xxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxx před xxxxxxxxx xxxxxxx x xxxxxxxxxxx x komunikačním xxxxxxx,
x) xxxxxx xxxxx xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxxx,
x) odolnost xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxxx xxxxx xx xxxxx odolné xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx ověření xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx údajů xxx xxxxxx xxxxxxxx x
x) xxxxxxxxxxxxxxx xxxxxx identit.
(3) Xxxxxxx xxxxx pro xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx mechanizmus, xxxxx není xxxxxxxx xxxxx xx použití xxxxxxxxxxxxxx xxxx x xxxxx, nýbrž xx xxxxxxxxxxxxx autentizaci x xxxxxxx xxxxx xxxxxxx xxxx faktorů.
(4) Do xxxx xxxxxxx požadavku xxxxx xxxxxxxx 3 xxxx nástroj xxx xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx xxxxxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxx a xxxxxxx obdobnou úroveň xxxxxxxxxxx.
(5) Do doby xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 nebo 4 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx, xxxxx používá x autentizaci xxxxxxxxxxxxx xxxx x xxxxx, xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx alespoň
1. 12 xxxxx x xxxxxxxxx x
2. 17 xxxxx x xxxxxxxxxxxxxx x xxxxxxxx,
x) umožňující zadat xxxxx o délce xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxx x xxxxxxx písmen, xxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxx hesla, přičemž xxxxxx xxxx xxxxx xxxxxxx xxxxx xxxxx xxx xxxxxx xxx 30 xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx x administrátorům
1. xxxxxx si xxxxxxxxxx xxxxxxxxx xxxxx,
2. tvořit xxxxx na základě xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, názvu xxxxxxx xxxx xxxxxxxx způsobem x
3. xxxxxxxx použití xxxxx používaných xxxxx x xxxxxx alespoň 12 xxxxxxxxxxx xxxxx x
x) xxx xxxxxxxx xxxxx hesla x xxxxxxxxx xxxxxxxxx po 18 měsících, přičemž xxxx pravidlo se xxxxxxxxxx xx xxxx xxxxxxxx k xxxxxx xxxxxxx v xxxxxxx xxxxxxx.
(6) Povinná osoba x případě xxxxxxxxx xxxxxxxxxxx xxxxx xxxxx x xxxxxx xxxx
x) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxx xx xxxx prvním použití,
b) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx x xxxxxxxx xxxxxxxx xx xxxx xxxxxx xxxxxxx nebo xxxxxxxxx nejvýše 60 xxxxx xx xxxx xxxxxxxxx a
c) povinně xxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle §9.
§20
Xxxxxx xxxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému x
x) xxx xxxxx xxx, xxxxx dat x xxxxx xxxxxxxxx.
§21
Xxxxxxx xxxx xxxxxxxxx xxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c), x) x f) xxxxxx x rámci xxxxxxx xxxx xxxxxxxxx xxxxx
x) x xxxxxxx xx xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx ochranu
1. xxxxxxxxx stanic,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
5. xxxxxxxxxxx xxxx x xxxxx xxxxxxxxxxx sítě x
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxx xxxxxxxxx xxxxxxxxx xxxxxxxx a xxxxxxxx nosičů,
c) xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx nosičů,
d) xxxx xxxxxxxxx ke spouštění xxxx x
x) provádí xxxxxxxxxxx x účinnou xxxxxxxxxxx nástroje xxx xxxxxxx před xxxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx.
§22
Xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx, xxxx uživatelů x xxxxxxxxxxxxxx
(1) Povinná xxxxx
x) xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx provozní události xxxxxxxxxx aktiv xxxxxxxxxxxx x komunikačního xxxxxxx x
x) na xxxxxxx xxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxx xxxxxx aktiv, x kterých je xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx osoba xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx, xx-xx x xxxxxxxxxxx síti xxxxxx nástroj, xxxxx xxxx xxxx xxxxxxx xxxxxxxxxxxx,
x) xxxx informací x xxxxxxxxxxxxxx a xxxxxxxxxx událostech; xxxxxxx xxxxxxxxxxx
1. datum x xxx včetně xxxxxxxxxxx xxxxxxxx pásma,
2. typ xxxxxxxx,
3. xxxxxxxxxxxx technického xxxxxx, xxxxx činnost xxxxxxxxxxx,
4. xxxxxxxxxxxx identifikaci xxxx, pod xxxxxx xxxx činnost xxxxxxxxx,
5. xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x
6. xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxx x) a x) xxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxx změnou,
d) xxxxxxxxxxxxx
1. xxxxxxxxxxxx x xxxxxxxxxxx xx xxxx xxxxx, x xx xxxxxx xxxxxxxxxxx pokusů,
2. xxxxxxxx xxxxxxxxxxx administrátory,
3. xxxxxxx x xxxxxxxxx xxxxxxxxxx x účty, xxxxxxxxxxx a právy,
4. xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx přístupových xxxx a oprávnění,
5. xxxxxxxx uživatelů, xxxxx xxxxx xxx vliv xx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx x xxxxxxxx xxxxxxxx technických aktiv,
7. xxxxxxxxxx i chybových xxxxxxx xxxxxxxxxxx aktiv x
8. přístupů x xxxxxxxx x událostech, xxxxxx o manipulaci xx xxxxxxx o xxxxxxxxxx x změny xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx za 24 xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x), x) x f) zákona xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 nejméně po xxxx 18 xxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx zaznamenaných xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 12 xxxxxx.
§23
Detekce xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Povinná xxxxx x rámci xxxxxxxxxxx xxxx, jejíž xxxxxxxx xx xxxxxxxxxx a xxxxxxxxxxx systém, xxxxxxx xxxxxxx pro detekci xxxxxxxxxxxxxx bezpečnostních událostí, xxxxx xxxxxxx
x) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx x rámci xxxxxxxxxxx sítě x xxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx na xxxxxxxxx komunikační sítě x
x) xxxxxxxxx nežádoucí xxxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxxxx x xxxxxxx na xxxxxxxxxx xxxxx x xxxxx
x) xxxxxxxxx xxxxxx,
x) xxxxxxxxx zařízení,
c) xxxxxxx,
x) xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxxxx prvků x
x) xxxxxxxxx xxxxx.
§24
Sběr x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
Povinná xxxxx uvedená x §3 xxxx. x), x) a x) xxxxxx xxxxxxx xxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který xxxxxx
x) xxxx a xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx §22 x 23,
x) xxxxxxxxxxx a xxxxxxxxxxx souvisejících xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx x detekovaných xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx,
x) vyhodnocování xxxxxxxxxxxxxx bezpečnostních událostí x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxx,
x) xxxxxxx případů xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxx xxx
1. xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí a
2. xxxxxx xxxxxxxx x
x) xxxxxxxxx xxxxxxxxx získaných xxxxxxxxx xxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí pro xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
§25
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému xx xxxxxxxxx xx důležitá xxxxxx, a xx
x) xxxx jejich xxxxxxxx xx xxxxxxx x
x) x souvislosti s xxxxxxxxx xxxxxx podle §11 xxxx. 3.
(2) Xxxxxxx xxxxx xxxx x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx aplikací, xxxxxxxxx x xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx xxxxxxxxxxx xxxxxxxx.
§26
Xxxxxxxxxxxxxx prostředky
Povinná xxxxx xxx xxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) používá xxxxxxxx xxxxxx kryptografické algoritmy x xxxxxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxx správy xxxxx a xxxxxxxxxxx, xxxxx
1. xxxxxxx generování, xxxxxxxxxx, ukládání, změny, xxxxxxx xxxxxxxxx, zneplatnění xxxxxxxxxxx a likvidaci xxxxx x
2. xxxxxx xxxxxxxx a audit,
c) xxxxxxxxx xxxxxxxx nakládání x kryptografickými xxxxxxxxxx x
x) xxxxxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx Úřadem, xxxxxxxxxx na xxxx xxxxxxxxxxxxx stránkách.
§27
Zajišťování úrovně dostupnosti xxxxxxxxx
Xxxxxxx xxxxx xxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxx dostupnosti, xxxxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxx splnění xxxx xxxxx §15,
x) odolnost xxxxxxxxxxxx a komunikačního xxxxxxx xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx mohly xxxxxx xxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxx xxxxx xxxxxxxxxx xxx xxxxxxxxx dostupnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§28
Xxxxxxxxxx, xxxxxx a xxxxxxx specifické systémy
Povinná xxxxx pro xxxxxxxxx xxxxxxxxxxxx bezpečnosti průmyslových, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx systémů xxxxxxx xxxxxxxx x xxxxxxxx, xxxxx zajistí
a) xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, které xxxx xxxxxx xx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxx xxxxxxx x xx komunikační xxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxx tyto xxxxxxx xx xxxxxxx xxxxxxxxxxxxxx,
x) omezení x xxxxxx xxxxxxxxxx přístupu x xxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx systémů xxxx využitím xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx těchto xxxxxxx xx kybernetickém bezpečnostním xxxxxxxxx.
§29
Xxxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx prováděcího xxxxxxxx Komise (EU) 2018/151 ze xxx 30. ledna 2018, xxxxxx xx stanoví xxxxxxxx xxx uplatňování xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Rady (XX) 2016/1148, xxxxx xxx x xxxxxx xxxxxxxxx xxxxx, xxxxx musí xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxxx x xxxxxxxxxx systémy, x xxxxxxxxx xxx xxxxxxxxxx xxxx, xxx xx xxxxx xxxxxxxxx xxxxxxxx; xxxxxxxxxx §3 xx 28 xx xx xxxx povinnou xxxxx nepoužijí.
(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) xxxxxx xxxxx xxxxxxxxx xxxxx xxxxx §34 xxxx. 2.
(3) Xxxxxxx xxxxx xxxxxxx v §3 písm. h) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32 xxxx. 2 x 3.
HLAVA III
BEZPEČNOSTNÍ XXXXXXXX X BEZPEČNOSTNÍ DOKUMENTACE
§30
Bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxxxxxx politiku x vede bezpečnostní xxxxxxxxxxx zahrnující xxxxxxx xxxxxxx x příloze č. 5,
x) xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx aktuální.
(2) Xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx musí xxx
x) xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx x xxxxx xxxxxxx xxxxx,
x) přiměřeně xxxxxxxx dotčeným xxxxxxx,
x) xxxxxx,
x) chráněny x xxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx xxx, aby xxxxxxxxx x nich xxxxxxxx xxxx úplné, xxxxxxx, snadno identifikovatelné x xxxxxx xxxxxxxxxxxx.
XXXX TŘETÍ
KYBERNETICKÝ BEZPEČNOSTNÍ XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx podle významnosti xxx xxxxxxxxxx
x) dopadů xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx kritériích, xxxxx xxxxxxx xxxx xxxxxxx xxxxx určeny,
b) počtu xxxxxxxxx uživatelů,
c) způsobené xxxx předpokládané škody,
d) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) dopadů xx xxxxxxxxxxx služby informačního x komunikačního xxxxxxx,
x) xxxxxx xx služby xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x komunikačními systémy,
g) xxxxx trvání xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx x
x) xxxxxxx xxxxxx.
(2) Xxx xxxxxxx xxxxxxx a xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xx xxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Kategorie XXX - xxxxx xxxxxxxx kybernetický bezpečnostní xxxxxxxx, xxx kterém xx xxxxx a xxxxxxxx narušena bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx s xxx, xx musí xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx II - xxxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, při kterém xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx musí xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx xxxx, xxxx
x) Kategorie X - xxxx xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx vyžaduje xxxxxx xxxxxxx x xxx, xx xxxx xxx vhodnými prostředky xxxxxxx další šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx vzniklých xxxx.
(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxx jsou
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx integrity xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx způsobující narušení xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx v xxxxxxxxx x) až x).
(4) Xxxx ustanovení se xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx incidenty x xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx.
§32
Xxxxx a xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx se Úřadu xxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx zveřejněn xx xxxxxxxxxxxxx stránkách Xxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx pošty xxxxxxxxxxxxx národního XXXX xxxxxxx xxx xxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx CERT, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxx i x xxxxxxxx podobě, xxxxx xxxxx x xxxxxxxxx, kdy xxxxx xxxxxx xxxxx ze xxxxxxx uvedených x xxxxxxxxxx 1 x 2.
(4) Náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) datum x xxx zjištění xxxxxxxxx x
x) popis xxxxxxxxx.
XXXX XXXXXX
XXXXXXXXX OPATŘENÍ X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx, xxxxx Úřad uložil xxxxxxx xxxxxxxxx opatření,
a) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx na xxxxxxxxxx a xxxxxxxxxxx xxxxxx x xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx jeho xxxxx xxxxxxxxx účinky, x xxxx xxxxxx xxxx xxxx xxxxxxxxx.
(2) Xxxxxxx osoba, které Xxxx uložil xxxxxxx xxxxxxxxx opatření, xxxxxx xxxxxx provedení xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx ve formě xxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
§34
Kontaktní xxxxx
(1) Xxxxxxxxx xxxxx xx Úřadu xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) na adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx schránky Úřadu, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx popis xx xxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu.
(2) Xxxxxxxxx údaje xx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx stránkách xxxxxxxxxxxxx xxxxxxxxx XXXX zaslaném
a) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX určenou xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx xxxx internetových xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx národního CERT, xxxx
x) prostřednictvím internetových xxxxxxx xxxxxxxxxxxxx národního XXXX.
(3) Xxxxxxx xxxxxxxxxxx xxxxx je xxxxx xxxxxx x v xxxxxxxx xxxxxx, xxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx ze způsobů xxxxxxxxx v xxxxxxxxxx 1 x 2.
(4) Xxxx oznámení kontaktních xxxxx xx xxxxxx x příloze č. 8 x xxxx vyhlášce.
(5) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx, xxxx k xxxxxxx xxxxxxxxxxx xxxxx podle xxxxxxxx 1 xxxxxxxx xxxxxxxx, xxxxxx xx xxxxxxx xxxxxxxxxxxx informuje xxxxx §8 xxxx. 1 xxxx. c).
XXXX PÁTÁ
ZÁVĚREČNÁ XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) X xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, které xxxx xxxxxx přede xxxx xxxxxx xxxxxxxxx xxxx vyhlášky, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx k xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xx xxxxxxx xxxx xxx dne xxxxxx xxxxxxxxx této xxxxxxxx xxx obsah x xxxxxxxxx bezpečnostní xxxxxxxxxxx a xxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx vyhlášky č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx opatřeních x x xxxxxxxxx xxxxxxxxxxx xxxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x kybernetické xxxxxxxxxxx).
(2) X xxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx x komunikačních xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx byly xxxxxx xxxxx xxxx xxxxxx účinnosti xxxx xxxxxxxx, x v xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx vyhlášky, xx xx xxxxxxx xxxx xxx dne xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx způsob xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx tato vyhláška xxxxxxxxx.
§36
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., o xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx podání x oblasti kybernetické xxxxxxxxxxx (xxxxxxxx o xxxxxxxxxxxx bezpečnosti).
§37
Xxxxxxxx
Xxxx xxxxxxxx nabývá xxxxxxxxx dnem xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Příloha č. 1 x vyhlášce x. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxx hodnocení xxxxxxxxxxx xxxxx jsou x xxxxx xxxxxxx xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxx x xxxxxxxx xx, jaký xxxxx xx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx aktiv. Xxxxxxx xxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, než jaký xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x stupnicemi x xxxxxxxx xxx hodnocení xxxxxxxxxxx aktiv, které xxxx uvedeny x xxxx příloze.
(2) Xx xxxxxxxxxx, xxx xx xxxxx xxxxxxx xxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxx potřebám.
Tab. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx požadavků xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx přístupná xxxx xxxx xxxxxx xx xxxxxxxxxx. Xxxxxxxx xxxxxxxxxx aktiv neohrožuje xxxxxxxxx xxxxx povinné xxxxx. X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx a xxxxxxx klasifikace podle xxx. xxxxxxx xxxxx xxxxxxxxx (dále xxx "XXX") xx xxxxxxxxx xxxxxxxx XXX:XXXXX. |
Xxxx xxxxxxxxxx xxxxx ochrana. |
|
Střední |
Aktiva xxxxxx xxxxxxx xxxxxxxxx x tvoří xxxx-xxx xxxxxxx xxxxx, xxxxxxx xxxxx není xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx smluvním xxxxxxxxx. X xxxxxxx sdílení takového xxxxxx x xxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx XXX xx využíváno zejména xxxxxxxx TLP:GREEN xxxx XXX:XXXXX. |
Xxx xxxxxxx důvěrnosti xxxx využívány prostředky xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx předpisy, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxxxx). X xxxxxxx sdílení takového xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxx x zaznamenávání xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx sítí xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Kritická |
Aktiva nejsou xxxxxxx přístupná x xxxxxxxx xxxxxxxxxxxxx míru xxxxxxx xxx xxxxx xxxxxxxxx kategorie (xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx). X případě sdílení xxxxxxxx aktiva s xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx a zaznamenávání xxxxxxxx. Xxxx metody xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx strany xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Tab. 2: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx ochranu xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx může vyžadovat xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx vést x xxxxxxxxx oprávněných xxxxx xxxxxxx osoby x může se xxxxxxxx méně xxxxxxxxx xxxxxx na primární xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxxxxxxx omezení xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu integrity xxxx využívány xxxxxxxxx xxxxxxxxxx, které dovolují xxxxxxxx xxxxxxxx provedených xxxx a xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xx zajištěna xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx z xxxxxxxx integrity. Narušení xxxxxxxxx xxxx k xxxxx vážnému xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxx x xxxxx vážnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Tab. 3: Xxxxxxxx pro hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx xxxxxxxx x v případě xxxxxxx xx xxxxx xxxxxxxxxx delší xxxxxx xxxxxx xxx nápravu (xxx xx 1 xxxxx). |
Xxx xxxxxxx dostupnosti xx postačující pravidelné xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx nemělo xxxxxxxxx xxxx xxxxxxxxxx dne, xxxxxxxxxxxxx xxxxxxx vede x možnému xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx xxxxxxxxx xxxx několika xxxxx. Xxxxxxxx xxxxxxx xx xxxxx řešit xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx povinné osoby. Xxxxxx xxxx xxxxxxxxxx xx xxxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx xxxxxxx x obnova xxxxxxxxxxx xxxxxx může xxx xxxxxxxxx zásahy xxxxxxx xxxx výměnou xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x xxxxxxxxxx xxxxxxxxxxxx (x xxxx několika xxxxx) xxxx x xxxxxxx ohrožení oprávněných xxxxx povinné xxxxx. Xxxxxx jsou xxxxxxxxxx xx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx využívány xxxxxxx systémy x xxxxxx xxxxxxxxxxx služeb xx krátkodobá x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx č. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxxxxxxxxxx xxxxxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxxxx xxxxx podle §5.
(2) Xxxxxxx rizika xx xxxxxxxxxx vyjádřena xxxx xxxxxx, kterou ovlivňuje xxxxx, xxxxxx a xxxxxxxxxxxx.
(3) Xxx hodnocení xxxxx lze xxxxxx xxxxxxxxx xxxx xxxxxx:
Xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx xx v xxxxx xxxxxxx odvozen x xxxxxxxxx aktiv xxxxx přílohy č. 1.
(5) X xxxxxxx, xx xxxxxxx xxxxx využívá metodu xxx xxxxxxxxx xxxxx, xxxxx nerozlišuje hodnocení xxxxxx a xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx hodnocení xxxxxx x xxxxxxxxxxxxx sloučit. Xxxxxxxx stupnic xx xxxxxx xxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx hrozby x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx komentář, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx se xxxxxxxxx x x xxxxxxxxx, xxx xxxxxxx xxxxx xxxxxxx xxxx xxxxx xxxxxx xxx hodnocení xxxxxx, hrozeb, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx pro xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx nebo xx xxxx xxxxxxxxxxxxx. |
|
Střední |
Hrozba xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx je xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx jistá. |
Xxx. 2: Xxxxxxxx xxx hodnocení xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx nebo xx xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Jsou xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx schopna včas xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx případné xxxxxx x xxxxxx zneužití. |
|
Střední |
Zneužití xxxxxxxxxxxxx xx málo xxxxxxxxxxxxx až pravděpodobné. Xxxx zavedena bezpečnostní xxxxxxxx, xxxxxxx účinnost xx pravidelně kontrolována. Xxxxxxxxx xxxxxxxxxxxxxx opatření xxxx xxxxxxxxx možné xxxxxxxxxxxxx nebo xxxxxxxx xxxxxx o xxxxxxxxx xxxxxxxx xx xxxxxxx. Xxxxxx známé xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx opatření xxxx xxxxxxxx, xxx jejich xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx a xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx známé dílčí xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zneužití xxxxxxxxxxxxx je xxxxx xxxxxxxxxxxxx xx víceméně xxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxx xx jejich xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx známé xxxxxxx pokusy překonání xxxxxxxxxxxxxx opatření. |
Tab. 3: Xxxxxxxx pro hodnocení xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx opatřeními nebo x případě xxxxx xxxxxxxxxx xxxxxxxx je xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx je xxxxxxxxxx xxxxxxxxxxx a xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx a musí xxx neprodleně xxxxxxxx xxxxx k xxxx xxxxxxxxxx. |
Xxxxxxx x. 3 x xxxxxxxx x. 82/2018 Sb.
Zranitelnosti x xxxxxx
Xxxxxxxxxx: Xxxx příloha xxxxxxxx jen xxxxxxx xxxxxxxxx xxxxxxxxxxxxx a xxxxxx. Identifikace xxxxxxxxxxx xxxxxxxxxxxxx a hrozeb xx xxxxxxxxxxxx xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx údržba xxxxxxxxxxxx x komunikačního xxxxxxx,
2. xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
3. xxxxxxxxxxxx xxxxxxx vnějšího xxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
5. nedostatečná xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. nevhodné nastavení xxxxxxxxxxxx oprávnění,
7. xxxxxxxxxxxx xxxxxxx xxx identifikování x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
8. xxxxxxxxxxxx monitorování činnosti xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x povinností uživatelů, xxxxxxxxxxxxxx x bezpečnostních xxxx,
10. xxxxxxxxxxxx ochrana xxxxx,
11. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
12. nedostatečná míra xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx odhalení pochybení xx xxxxxx xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx bezpečnostní politiky, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx ze xxxxxx uživatelů x xxxxxxxxxxxxxx,
2. xxxxxxxxx xxxx xxxxxxx technického xxxxx xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. užívání programového xxxxxxxx v xxxxxxx x licenčními xxxxxxxxxx,
5. xxxxxxxx kód (například xxxx, xxxxxxx, xxxxxxx xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
8. xxxxxxxx nebo xxxxxxxxxxx modifikace údajů,
9. xxxxxx, xxxxxxxx nebo xxxxxxxxx aktiva,
10. xxxxxxxxxx xxxxxxxxx závazku xx xxxxxx xxxxxxxxxx,
11. xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
12. xxxxxxxx vnitřních xxxxxxxxxx, xxxxxxx,
13. dlouhodobé xxxxxxxxx xxxxxxxxxxx služeb xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx jiných xxxxxxxxxx služeb,
14. xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx úrovní,
15. xxxxxx xxxxxxxxxxxx xxxx pomocí xxxxxxxxxx xxxxxxxxxxx, použití xxxxxxxxxxx xxxxxxx,
16. zneužití xxxxxxxxxxxxx technických xxxxxx xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (xxxxxxxxx, modifikace).
Xxxxxxx x. 4 x xxxxxxxx x. 82/2018 Sb.
Likvidace xxx
(1) Xxxx příloha xxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx dat x xxxxxxx likvidace xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx a xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx si xxxxxxx xxxxxxxx pro xxxxxx xxx x xxxxxxxxx technických nosičů xxx v xxxxxxx x xxxxx xxxxxxxx. Xxx xxxxxx xxxxxxx xxxxxxxxxx podle xxxxxx xxxxxxxx xxxxxxxx. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxx xxx mazání xxx x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx, xxxxxxxx x xxxxxxx a xxxxxxxxxxx xxxxx.
(3) Pravidla xxx likvidaci xxx xx xxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxx x měla xx xxxxxxx xxxxxxxxxxx
x) xxxxxxx xxxxxx (xxxxxxx x xxxxxxx důvěrnosti),
b) xxxxxxxxxxx (xxxx a xxxxxxxx xxxxxx xxxxxxxxx),
x) xxx xx xxxxx xxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxxxx či xxxxxxx,
x) xxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx prostředí,
e) kdo xxxx xxxxxxxxx dat xxxxxxxx (xxxxxxx zaměstnanec, xxxx dodavatel),
f) xxxxxxxxxx xxxxxxxx x xxxxxxxx xxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) zda xx k xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxx xx xxxxxxxx, xxxxxxx, xxxxxxxx, xxxxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) možné xxxxxxx likvidace xxx (xxxxxxxxx zničením nosiče, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, znečitelněním xxx xxxxxx xxxxxxxxxx a xxxxxxx),
x) použitelné xxxxxxx xxxxxxxxx xxx xxxxxxxx xx stavu nosiče xxxxxxxxx (xxxxxxxxx xxx xxxxxxxxx xxxxxxxx nebude xxxxx použít variantu xxxxxxx xxxxxxxxx, xxx xxxxxxx xx xxxxxxx xxxxxxx xxxxxxxxx).
(4) Způsoby xxxxxxxxx technických xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich xxxxx:
x) Xxxxxxxxxx
1. Xxxxxx xxxxxxxxx spočívá v xxxxxxxxxx xxx xxx, xxx byla xxx xxxxxx nedostupná (xxxxxxxxx xxxxxxxxxx xxxxxxxx souboru, xxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx).
2. Jde x nejméně xxxxxxxx xxxxxx xxxxxxxxx xxx. X případě získání xxxxxx xxxxxxxxx xx xxxxx s vynaložením xxxxxxxx xxxxx informace xxxxxxx.
3. Tato xxxxxx xxxx použitelná pro xxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxx xxxxx.
4. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx.
2. Xxx x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxx xxx. Xxxxx dostupné nástroje xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx.
3. Xxxxxxxx xxxx xxx nahrazeno nebo xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx klíčů x xxxxxxxxxxx xxxxxxxxx.
4. Xxxx xxxxxx xxxx xxxxxx xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, případně xxx xxxxx x xxxxxx xxxxxxxxx.
5. Xxxxxxxxxx způsob xxx xxxxxx xxxxxxxxxx xxxxxx (vychází z přílohy č. 1): nízká xx xxxxxxxx.
x) Fyzická xxxxxxxxx xxxxxx xxxxxxxxx
1. Xxxxxx xxxxxxxxx spočívající ve xxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxx v xxxxxxxxx xxxxxxxx a následném xxxxxxx xxxxxx informace (xxxxxxxxxxx, xxxxxxxxx xx xxxxxxxx xxxxxxxxx).
2. Jde x xxxxxxxxxxxxxx metodu xxxxxxxxx xxx. Xxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx nelze xxxxx xxxxxx xxx xxxxxxx xxxx. Původní xxxxxxxxx xxxx xxxxx xxxxxxx xxx při vynaložení xxxxxxx množství xxxxxxxxxx x xxxxx.
3. Použitelný xxxxxx xxxxxxxxx xxx xxxxxx důvěrnosti xxxxxx (xxxxxxx z přílohy č. 1): xxxxxxx xx xxxxxxxx.
Xxxxxxx xxxxxxx xxxxxxx likvidace xxxxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1)
|
Xxxxxxxxx xxxxxx xxxxxxxxx xxxxx úrovně xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Xxxxx |
2. Xxxxxxx |
3. Xxxxxx |
4. Xxxxxxxx |
|
|
Xxxxxxxxx xx lidsky xxxxxxxx xxxxxx (xxxxxxx dokumenty, xxxxxxxx a xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx do odpadu. |
Přepsání: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (mobilní xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx likvidace: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, xxxxx x xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxxxxxx xxxxxxxx (xxxxxxx, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, xxxxx, XXX [Xxxx Xxxx Drive]) |
Odstranění: |
Xxxxxxxx: |
|||
|
Xxxxxxx xxxxx (XX, XXX, XX-XXX, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (flash xxxxxx) |
|||||
|
Xxxxxxxxxxx x xxxxx |
Xxxxxxxxx xxxxxx xxxxxxxxx xxx xx xxx být xxxxxxxx xxxxxxxx xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxxxxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxx xx xxxxxxxx xxxxxx xxxxxxx. |
|||||
Xxxxxxx x. 5 x vyhlášce x. 82/2018 Xx.
Xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Bezpečnostní xxxxxxxx
1.1. Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Cíle, xxxxxxxx a xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx řízení xxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx nápravná xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx bezpečnosti informací.
1.2. Xxxxxxxx xxxxxx xxxxx
x) Xxxxxxxxxxxx, hodnocení a xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx xxxxxx xxxxxxx,
2. hodnocení důležitosti xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, integrity x dostupnosti.
b) Identifikace, xxxxxxxxx x evidence xxxxxxxxxx aktiv
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx jejich xxxxxxx,
2. xxxxxx xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovní xxxxx
1. xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx aktiv.
d) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx ničení technických xxxxxx xxx, xxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxx kopií.
1.3. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx
x) Určení xxxxxxxxxxxxxx rolí x xxxxxx práv x xxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx výkonu činností xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
c) Xxxxxxxxx na oddělení xxxxxx bezpečnostních a xxxxxxxxxx xxxx.
1.4. Politika xxxxxx xxxxxxxxxx
x) Pravidla x xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxxxxx.
x) Xxxxxxxxxxx smlouvy x xxxxxx služeb a xxxxxxx a xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x o xxxxxx xxxxxxxx xxxxxxx odpovědnosti.
d) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx dodavatelů.
1.5. Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) Xxxxxxxx xxxxxxx bezpečnostního xxxxxxxx a xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x formy poučení xxxxxxxxx,
2. xxxxxxx x xxxxx xxxxxxx garantů xxxxx,
3. xxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Bezpečnostní xxxxxxx xxxxxx zaměstnanců.
c) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx ukončení xxxxxxxxxx xxxxxx xxxx změnu xxxxxxxx xxxxxx
1. xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx práv xxx xxxxxxxx pracovního vztahu,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
1.6. Politika xxxxxx xxxxxxx a xxxxxxxxxx
x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx s xxxxxxxxx xxxxxxxx.
x) Xxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x omezení xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx xxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx to xxxx).
x) Xxxxxxxxx xx řízení xxxxxxxx.
x) Xxxxxxx cyklus xxxxxx přístupu.
d) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx oprávnění xxxxxx xxxxxxxxx xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx skupinách.
1.8. Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxx s xxxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx hesla.
c) Bezpečné xxxxxxx xxxxxxxxxxxx pošty x přístupu xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx chování xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x mobilním zařízením.
1.9. Xxxxxxxx xxxxxxxxxx a xxxxxx x xxxxxxxxxxxx xxxxxxxx
x) Požadavky xx xxxxxxxxxx a xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx dlouhodobého ukládání.
d) Xxxxxxxx xxxxxxxxxx zálohování x xxxxxxxxxxxx ukládání xxxxxxxxx.
x) Pravidla x xxxxxxx obnovy.
f) Pravidla x xxxxxxx xxxxxxxxx xxxxxxxxxx x obnovy.
g) Xxxxxxxx xxxxxxxx x xxxxxxx, ukládaným informacím.
1.10. Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx ochrany xxxxxxxxxxxx výměny informací.
c) Xxxxxxxx xxx využívání xxxxxxxxxxxxxx ochrany.
1.11. Politika xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx
x) Xxxxxxxx xxx omezení xxxxxxxxx programového vybavení.
b) Xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxxxxxx programových xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
x) Pravidla x postupy xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
1.12. Xxxxxxxx xxxxxxxxxx používání xxxxxxxxx xxxxxxxx
x) Pravidla x postupy pro xxxxxxxx používání xxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, která xxxxxxx xxxxx xxxx xx xxx správě.
1.13. Xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx
x) Xxxxxxxxxxxx xxxxxxxxx pro xxxxxxxx, xxxxx x xxxxxx.
x) Xxxxxx zranitelností.
c) Xxxxxxxx xxxxxxxxxxx a nabývání xxxxxxx programového xxxxxxxx x xxxxxxxxx
1. xxxxxxxx x xxxxxxx nasazení xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
2. xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
1.14. Xxxxxxxx ochrany xxxxxxxx xxxxx
x) Charakteristika xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxxxx opatření xxx ochranu xxxxxxxx xxxxx.
x) Popis xxxxxxxxx x provedených xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
1.15. Politika xxxxxxx bezpečnosti
a) Xxxxxxxx xxx ochranu xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx xxxx.
x) Pravidla xxx ochranu zařízení.
d) Xxxxxxx narušení fyzické xxxxxxxxxxx.
1.16. Xxxxxxxx bezpečnosti xxxxxxxxxxx xxxx
x) Xxxxxxxx x postupy pro xxxxxxxxx bezpečnosti xxxx.
x) Xxxxxx xxxx x xxxxxxxxxx xx bezpečný xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx přístupů x xxxxx xxxx.
x) Xxxxxxxx x postupy pro xxxxxxx xxxxxxxxxx xxxxxxxx x síti.
e) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx záznamů.
1.17. Xxxxxxxx xxxxxxx před xxxxxxxxx kódem
a) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx serverů x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Xxxxxxxx xxxxxxxx a používání xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
a) Xxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Provozní xxxxxxx xxx vyhodnocování a xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx optimalizaci nastavení xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
1.19. Xxxxxxxx využití x xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x postupy xxx xxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxxx aktualizace xxxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx optimální xxxxxxxxx xxxxxxxxxxxxxx vlastností nástroje xxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
1.20. Xxxxxxxx bezpečného xxxxxxxxx xxxxxxxxxxxxxx ochrany
a) Xxxxxx ochrany x xxxxxxx xx typ x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla kryptografické xxxxxxx xxxxxxxxx
1. při xxxxxxx po xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx xx mobilní zařízení xxxx vyměnitelný xxxxxxxxx xxxxx dat.
c) Xxxxxx xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx změn
a) Způsob x xxxxxxxx řízení xxxxxxxxxx změn v xxxxx xxxxxxx osoby, xxxxxx procesech, xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxxx xxxxxx xxxxxxxxxx xxxx.
x) Xxxxxx vedení xxxxxxxx x testování xxxxxxxxxx xxxx.
1.22. Politika xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
b) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx, xxxxxxxx x zvládání xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Pravidla x xxxxxxx testování xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x pro xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Evidence xxxxxxxxx.
1.23. Xxxxxxxx xxxxxx xxxxxxxxxx činností
a) Práva x povinnosti zúčastněných xxxx.
x) Cíle xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx dat.
c) Xxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx a posuzování xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxx plánů.
f) Postupy xxx xxxxxxxxx opatření xxxxxxxx Xxxxxx.
2. Xxxxx xxxxxxxxxxxx dokumentace
2.1. Zpráva x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) Cíle xxxxxx xxxxxxxxxxxx bezpečnosti.
b) Předmět xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x osob, xxxxx xx auditu xxxxxxxxxxxx xxxxxxxxxxx zúčastnily.
e) Xxxxx x místo, xxx xxxx xxxxxxxxx xxxxxxxx při auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Závěry xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti informací
a) Xxxxxxxxxxx opatření x xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx bezpečnosti informací.
b) Xxxxxxxxxxxx změn x xxxxxxxxx, které xxxxx xxx vliv xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx xxxxx x výkonnosti řízení xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx xxxxx x stav xxxxx xxxxxxxx rizik.
e) Identifikace xxxxxxxx pro neustálé xxxxxxxxxx.
x) Doporučení potřebných xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx zajišťujících xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx hodnocení xxxxx
x) Určení stupnice xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx úrovní xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx xxx hodnocení xxxxx
1. xxxxxx stupnice xxx xxxxxxxxx úrovní dopadu,
2. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx hrozby,
3. xxxxxx xxxxxxxx pro xxxxxxxxx úrovní xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxx.
x) Xxxxxx x xxxxxxxx xxx zvládání xxxxx.
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
2.4. Xxxxxx o xxxxxxxxx xxxxx x xxxxx
x) Přehled xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. hodnocení primárních xxxxx z xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx garantů podpůrných xxxxx,
3. určení xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
x) Xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx xxxxxxxxxxxx opatření,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x xxxxxxxx xxx xxxxxxxxxxxxxxxx rizik,
5. určení x schválení xxxxxxxxxxxxxxxx xxxxx.
x) Zvládání xxxxx
1. xxxxx způsobu xxxxxxxx xxxxx,
2. xxxxx opatření x xxxxxx xxxxxxxxx.
2.5. Xxxxxxxxxx x aplikovatelnosti
a) Xxxxxxx vyloučených xxxxxxxxxxxxxx xxxxxxxx požadovaných touto xxxxxxxxx včetně xxxxxxxxxx, xxxx nebyla xxxxxxxxxx.
x) Xxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx.
2.6. Xxxx xxxxxxxx xxxxx
x) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx xxxxxx xxxxx na xxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx úspěšnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
2.7. Xxxx xxxxxxx xxxxxxxxxxxxxx povědomí
a) Obsah x termíny xxxxxxx xxxxxxxxx, administrátorů x xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx poučení nových xxxxxxxxxxx.
x) Xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxx xxxx, které xxxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx hodnocení plánu.
2.8. Xxxxxxxx xxxx
x) Evidence xxxxxxxxx xxxxx xxxxxxxxxx xxxx.
x) Xxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx.
2.9. Xxxxxxx kontaktní xxxxx
Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx.
2.10. Xxxxxxx xxxxxx xxxxxxxxx právních předpisů, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx vnitřních xxxxxxxx x xxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxx.
2.11. Xxxxx doporučená xxxxxxxxxxx
x) Topologie xxxxxxxxxxxxxx.
x) Xxxxxxx xxxxxxxx zařízení.
Xxxxxxx x. 6 x xxxxxxxx x. 82/2018 Sb.
Výbor xxx xxxxxx kybernetické xxxxxxxxxxx x bezpečnostní role
Tato xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx uvedené x §6 x 7.
Xxx. 1: Výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx za xxxxxxx xxxxxx a xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxx xxxxxxx xxxxx. |
|
Další xxxxxxxx: |
x) Xxxx výboru pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx xxxxxxx |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
a) Odpovědnost xx xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxx XXX/XXX 27000 a xxxxxxx xxxxx z xxxxxxx xxxxxxxxxxx x XXX. |
|
Xxxxxxxxxx: |
x) Prosazování xxxxxxx xxxxxx bezpečnosti xxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 roky xxxxx x oboru xxxxxxxxxx nebo kybernetické xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (XXXX), Certified xx Xxxx xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Certified Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Professional (XXXXX), Manažer XX (xxxxxxxxxxx schéma XXX). |
|
Xxxxx xxxxxxxx: |
x) Role xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx provoz xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x s xxxxxxx xxxxxxxxxx či xxxxxxxx xxxxxx. |
Xxx. 3: Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost xx xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx informačních x xxxxxxxxxxxxx systémů x xxxx navrhování. |
|
Zkušenosti: |
a) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxx Xxxxxx (XXX), XxxxXXX Security +, Certified Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (CISM), Xxxxxxxxx in Risk xxx Information Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (akreditační xxxxxx XXX). |
|
Xxxxx podmínky: |
Role xxxx xxxxxxxxxx x rolemi xxxxxxxxxxx xx provoz xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx. |
Xxx. 4: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx bezpečnosti. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxxxx xxxxxx xxxxxxxxxx nebo xxxxxxxxxxxx bezpečnosti, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Systems Xxxxxxx (XXXX), Xxxxxxxxx Xxxxxxxx Xxxxxxx (XXX), Certified xx Risk xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Lead Xxxxxxx Xxxxxxxxxxx Security Management Xxxxxx (Lead Auditor XXXX), Xxxxxxx BI (xxxxxxxxxxx xxxxxx ČIA). |
|
Další xxxxxxxx: |
x) Xxxx není xxxxxxxxxx x xxxxxx |
Tab. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx aktiva |
|
Klíčové xxxxxxxx: |
x) Odpovědnost xx xxxxxxxxx rozvoje, xxxxxxx x xxxxxxxxxxx xxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxxxxx xxxxxx, jehož xx xxxxxxxx. |
* Xxxxxxxxxxx xxxx xxx x xxxx než xxxxxxx, jestliže certifikace xxxxxxxxxxx odbornou xxxxxxxxxxx xxxxxxxxxxxxxx rolí xxxxxxx xxxxxxxxx ISO 17 024.
Příloha x. 7 x xxxxxxxx č. 82/2018 Xx.
Xxxxxx xxxxxxxxxx - xxxxxxxxxxxx xxxxxxxx xxx xxxxxxx vztahy
Obsah xxxxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxxxxx:
x) xxxxxxxxxx x xxxxxxxxxxx informací (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxx),
x) xxxxxxxxxx x xxxxxxxxx xxxxxx data,
c) xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxx x xxxxxxxxxxxx licencích,
d) xxxxxxxxxx x xxxxxxxx a xxxxxx dodavatele (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx xxxx být xxxxxxxxx, že poddodavatelé xx xxxxxx xxxxxxxxx x xxxxx rozsahu xxxxxxxx xxxx xxxxxxxx xxxxxx a xxxxxxxxxxx x xxxxxxx v xxxxxxx x xxxxxxxxx xxxxxxx osoby na xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx dodržovat xxxxxxxxxxxx politiky xxxxxxx xxxxx nebo xxxxxxxxxx x xxxxxxxxxxxx bezpečnostních xxxxxxx dodavatele povinnou xxxxxx,
x) xxxxxxxxxx x xxxxxx xxxx,
x) ustanovení x xxxxxxx smluv x obecně xxxxxxxxx xxxxxxxx předpisy,
i) ustanovení x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx povinnou xxxxx x
1. kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx smlouvy,
2. xxxxxxx xxxxxx xxxxx na xxxxxx xxxxxxxxxx x x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
3. významné změně xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xxxxxx x xxxxxxxxxx korporacích xxxx xxxxx vlastnictví xxxxxxxxx xxxxx, popřípadě xxxxx xxxxxxxxx nakládat s xxxxxx xxxxxx, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx podle xxxxxxx xx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxx xxxxxxxx xxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx při xxxxxxxx xxxxxxxxxx, kdy xx xxxxx xxxxx xxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxx xxxxxx, xxxxxxx xxx a podobně),
k) xxxxxxxxxxx xxxxxxxx xxx xxxxxx kontinuity xxxxxxxx x xxxxxxxxxxx x xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxx, úkoly dodavatelů xxx aktivaci xxxxxx xxxxxxxxxx činností),
l) xxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxx xxx, xxxxxxxxxx xxxxx x xxxxxxxxx xx xxxxxxxx správcem,
m) xxxxxxxx pro xxxxxxxxx xxx,
x) xxxxxxxxxx o xxxxx jednostranně xxxxxxxxx xx smlouvy x xxxxxxx významné změny xxxxxxxx xxx dodavatelem xxxx xxxxx kontroly xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx x
x) ustanovení x xxxxxxxx xx xxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 8 x xxxxxxxx č. 82/2018 Sb.
Vzor Formuláře xxx hlášení kontaktních xxxxx
Xxxxxxxxx
Xxxxxx xxxxxxx x. 82/2018 Xx. xxxxx xxxxxxxxx dnem 28.5.2018.
Xx xxx uzávěrky xxxxxx xxxxxxx xxxxx měněn xx xxxxxxxxx.
Xxxxx jednotlivých xxxxxxxx norem xxxxxx xxxxxxxx předpisů x xxxxxxxx není xxxxxxxxxxxxx, xxxxx se xxxx xxxxxx xxxxxxxxx změna xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Xxxxxxxx Evropského xxxxxxxxxx x Rady (XX) 2016/1148 ze xxx 6. xxxxxxxx 2016 x xxxxxxxxxx x xxxxxxxxx vysoké xxxxxxxx xxxxxx xxxxxxxxxxx xxxx a xxxxxxxxxxxx xxxxxxx x Xxxx.